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@ Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines 
informationsubertragungssystems nach dem Challenge-and Response-Prinzip 

(§7) Bei einsm mit einem Endgerat und einer tragbaren 
Datentrageranordnung gebildeten Informationsubertra- 
gungssystem findet eine Authentifizierung eines Systemteils 
durch ein anderes Systemteil nach dem Chailenge-and-Re- 
sponse-Prinzip statt. Die tragbare Datentrageranordnung 1st 
mit einem Wertespeicher und einer dieser zugeordneten 
Kontrolleinrtchtung sowie einem nichtfluchtigen, begrenzba- 
ren Fehlerzahler gebiidet. Bei dem Authentifizierungsverfah- 
ren ist zunachst in der tragbaren Datentrageranordnung eine 
Sperre fur das Durchfuhren von Rechenoperationen einge- 
richtet, die erst durch Verandern des Fehlerzahlerstandes 
aufgehoben werden mu&. Von dem Endgerat werden Zu- 
failsdaten als Challenge-Daten zur tragbaren Datentrageran- 
ordnung Qbertragen, nachdem der Fehlerzahlerstand inkre- 
mental verandert wurde und die Sperre aufgehoben worden 
ist. Sowohi im Endgerat als auch in der tragbaren Datentra- 
J geranordnung werden aus den Challenge-Daten mit HHfe 
zumindest eines Algorithmus und geheimer Schiusseidaten 
jeweils Authentifikationsparameter AP3, AP4 berechnet. Das 
Endgerat ubertragt seine Authentifikationsparameter AP3 als 
Response zur tragbaren Datentrageranordnung, wo sie mit 
den dort berechneten Authentifikationsparametem AP4 ver- 
glichen werden. Bei Clbereinstimmung der jeweiligen Au- 
thentifikationsparameter AP3, AP4 wird der Wertespeicher 
wiederaufladbar und/oder der Fehlerzahler rucksetzbar. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zur Authentifi- 
zierung eines Systemteils durch ein anderes Systemteil 
nach dem Challenge-and- Response- Prinzip bei einem 5 
mit einem Endgerat und einer tragbaren Datentrager- 
anordnung gebiideten Informationsubertragungssy- 
stem, wobei die tragbare Datentragereinheit mit einem 
Wertespeicher und einer diesem zugeordneten Kon- 
trolleinrichtung gebildet ist. 10 

Ein solches Verfahren ist aus der alteren europa- 
ischen Anmeldung EP 0 570 924 A2 bekannt. Dort ist 
die Anzahl der Authentifikationsversuche durch einen 
Zahler begrenzt. Allerdings wird der Zahler nach jedem 
erfolgreichen Authentifikationsversuch zuriickgesetzt, 15 
so daB bei jeder Verwendung des einen Systemteils, also 
beispielsweise einer Chipkarte, wieder gleichviele neue 
Versuche zur Verfugung stehen. Wie der einzigen Figur 
dieser Schrift zu entnehmen ist, endet das Authentifika- 
tionsverfahren mit dem Riicksetzen des Zahlers. 20 

Tragbare Datentrageranordnungen wie beispielswei- 
se Telefonkarten sind mit einem Wertespeicher und ei- 
ner diesem zugeordneten Kontrolleinrichtung gebildet 
Der Wertespeicher ist als nichtfluchtiger Speicher, also 
beispielsweise als EPROM oder EEPROM, ausgefuhrt. 2 5 
Da solche Datentrageranordnungen einen Geldwert re- 
prasentieren, ist das Risiko gegeben, daB Versuche un- 
ternommen werden, den Wertespeicher zu manipulie- 
ren bzw. solche Datentrageranordnungen beispielswei- 
se mittels eines Mikroprozessors zu simulieren. Zu die- 30 
sem Zweck konnte der Datenverkehr zwischen einer 
solchen tragbaren Datentrageranordnung und einem 
Endgerat abgehort werden und dann anhand des ermit- 
telten Datenflusses die Datentrageranordnung simuliert 
werden. 35 

Urn eine Simulation zu verhindern, sind Verfahren 
entwickelt worden, die nach dem sogenannten Challen- 
ge-and-Response-Prinzip arbeiten. Hierbei wird vom 
Endgerat eine Challenge, beispielsweise eine Zufalls- 
zahl, zu der tragbaren Datentrageranordnung ubermit- 40 
telt. AnschlieBend werden sowohl in der tragbaren Da- 
tentrageranordnung als auch im Endgerat diese Zufalls- 
zahl mit einem geheimen Schlussel mittels eines Algo- 
rithms verschltisselt. Daraufhin sendet die tragbare 
Datentragereinheit die verschlusselte Zufallszahl an das 45 
Endgerat als Response zuruck. Im Endgerat wird diese 
Response mit der im Endgerat verschliisselten Zufalls- 
zahl verglichen. Bei Obereinstimmung wird die tragbare 
Datentrageranordnung als echt erkannt und ein Daten- 
austausch kann stattfinden. Wenn keine Obereinstim- 50 
mung gegeben ist, findet kein Datenaustausch statt, so 
daB die tragbare Datentrageranordnung nicht simuliert 
werden kann. 

Bekannte Verschlusselungsalgorithmen sind nur dann 
ausreichend sicher, wenn die Rechenleistung in der trag- 55 
baren Datentrageranordnung und die Wortlange der 
verschliisselten Daten ausreichend groB sind. Fur Tele- 
fonkarten sind die bekannten Algorithmen wie bei- 
spielsweise der RSA-Algorithmus viel zu aufwendig und 
damit zu teuer. 60 

Bei einer Telefonkarte werden bei jedem Gesprach 
eine bestimmte Anzahl der im Wertespeicher gespei- 
cherten Werte geloscht. Wenn alle Werte geloscht sind, 
wird die Karte normalerweise weggeworfen. Es besteht 
somit das Bedurfnis, den Wertespeicher wieder auflad- 65 
bar zu gestalten. 

Es gibt heute Telefonkreditkarten, die einen weiteren 
Wertespeicher enthalten, in dem ein bestimmter Kredit 
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abgespeichert ist. Ist nun der Wertespeicher entwertet, 
so kann er wieder aufgeladen werden, wenn gleichzeitig 
ein entsprechender Teil des Kredits im weiteren Werte- 
speicher geloscht wird. Dieser Wiederaufladevorgang 
des Wertespeichers findet jedoch innerhalb der Karte 
statt. 

Soli jedoch der Wiederaufladevorgang von auBen ge- 
steuert werden, so mussen entsprechende MaBnahmen 
getroffen werden, um eine miBbrauchliche Wiederaufla- 
dung sicher unterbinden zu konnen. 

Die Aufgabe der vorliegenden Erfindung ist es somit, 
ein sicheres Verfahren zur Authentifizierung eines Sy- 
stemteils durch ein anderes Systemteil nach dem Chal- 
lenge-and- Response-Prinzip bei einem mit einem End- 
gerat und einer tragbaren Datentrageranordnung gebii- 
deten Informationsubertragungssystem, wobei die trag- 
bare Datentragereinheit mit einem Wertespeicher und 
einer dieser zugeordneten Kontrolleinheit gebildet ist, 
anzugeben, das mit geringem Auf wand durchf uhrbar ist. 

Die Aufgabe wird gelost durch ein Verfahren gemaB 
dem Anspruch 1. Vorteilhafte Weiterbildungen der Er- 
findung sind in den Unteranspruchen angegeben. 

In erfindungsgemaBer Weise ist die tragbare Daten- 
trageranordnung auBer mit einem Wertespeicher und 
einer diesem zugeordneten Kontrolleinrichtung auch 
mit einem begrenzbaren Fehlerzahler gebildet, dessen 
Zahlerstand schreib- und ldschbar nicht fluchtig in 
EEPROM-Speicherzellen abgelegt ist. 

Vor jedem Authentifizierungsvorgang wird der Feh- 
lerzahlerstand inkremental durch einen Programmier- 
vorgang verandert, wobei es durch die Begrenzung der 
Anzahl der Authentifizierungsvorgange nicht moglich 
ist, den Algorithmus oder den geheimen Schlussel, mit 
denen die Authentifikationsparameter aus den Challen- 
ge-Daten berechnet werden, zu ermitteln. AuBerdem 
wird vor jedem Authentifizierungsvorgang eine Sperre 
in der tragbaren Datentrageranordnung eingerichtet, 
die nur durch eine Veranderung des Fehlerzahlerstands 
aufgehoben werden kann. Auf diese Weise wird sicher- 
gestellt, daB jeder Authentifizierungsvorgang gezahlt 
wird. Die Sperre kann beispielsweise ein logischer Zu- 
stand in einer bestimmten Speicherzelle sein. 

Ein Wiederaufladen des Wertespeicher in der tragba- 
ren Datentrageranordnung ist auf erfindungsgem&Be 
Weise nur moglich, wenn sich das Endgerat durch den- 
selben geheimen Schlussel und denselben Algorithmus 
mit denen die Authentifikationsparameter aus den Chal- 
lenge- Daten berechnet worden sind, authentifiziert hat. 

Es ist vorteilhaft, wenn bei der Berechnung der Au- 
thentifikationsparameter neben den Challenge- Daten 
und dem geheimen Schlussel weitere Daten einbezogen 
werden. Die Abhangigkeit der Response auch vom 
Stand des Fehlerzahlers, vom jeweiligen Inhalt des wie- 
der aufzuladenden Speichers oder von Identifikations- 
daten des tragbaren Datentragers erschwert die miB- 
brauchliche Analyse des gesamten Wiederaufladevor- 
gangs zusatzlich. 

In vorteilhafter Weiterbildung der Erfindung wird vor 
oder mit dem Wiederaufladen des Wertespeichers der 
Fehlerzahler ruckgesetzt. 

Eine hohere Sicherheit wird erreicht, wenn im Falle, 
daB der Fehlerzahler vor dem Wiederaufladen des Wer- 
tespeichers ruckgesetzt wurde, aus den Challenge- Da- 
ten mittels eines zweiten Algorithmus, weiterer gehei- 
mer Schliisseldaten und/oder weiterer sonstiger Daten 
des tragbaren Datentragers weitere Authentifikations- 
parameter ermittelt und miteinander verglichen wer- 
den. 
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In weiterer Ausbildung der Erfindung kann auch vor- 
gesehen werden, daB sich vor einer Authentifizierung 
des Endgerats gegenuber der tragbaren Datentrageran- 
ordnung, diese sich gegenuber dem Endgerat mittels 
desselben Vorgangs authentifizieren muB. Zu diesem 5 
Zweck ubertragt die tragbare Datentrageranordnung 
die ermittelten Authentifikationsparameter als Respon- 
se zu dem Endgerat, wo sie dann mit den dort ermittel- 
ten Authentifikationsparametern verglichen werden. 
Erst nach Obereinstimmung der jeweiligen Authentifi- io 
kationsparameter wird die Authentifizierung des End- 
gerats bezuglich der Berechtigung fur das Riicksetzen 
des Fehlerzahiers und/oder des Wiederaufladens des 
Wertespeichers durchgefuhrt Falls sich die tragbare 
Datentrageranordnung nicht authentifizieren kann, 15 
wird der Vorgang sofort abgebrochen. 

Es ist hinsichtlich der Sicherheit des Authentifizie- 
rungsvorgangs vorteilhaft, wenn mit jedem einzelnen 
Authentifizierungsvorgang neue Challenge- Dat en von 
dem Endgerat zur tragbaren Datentrageranordnung 20 
ubermittelt werden. Eine weitere Erhohung der Sicher- 
heit wird erreicht, wenn bei jedem Authentifizierungs- 
vorgang ein neuer geheimer Schliissel und/oder ein neu- 
er Algorithmus verwendet werden. 

Damit im Endgerat nicht eine Vielzahl von geheimen 25 
Schliisseln abgespeichert sein miissen, werden die in der 
jeweiligen tragbaren Datentrageranordnung gespei- 
cherten geheimen Schliisseidaten verschlusselt als Iden- 
tifikationsdaten vom Endgerat aus der tragbaren Da- 
tentrageranordnung gelesen und im Endgerat mittels 30 
eines weiteren geheimen Schliissel entschiiisselt, so daB 
dann sowohl in der jeweiligen tragbaren Datentrager- 
anordnung als auch im Endgerat derselbe geheime 
Schliissel vorliegt 

Die Erfindung wird nachfolgend anhand eines Aus- 35 
fiihrungsbeispiels mittels einer Figur naher erlautert Es 
zeigt dabei die 

Figur ein Ablaufdiagramm eines erfindungsgemaBen 
Verfahrens. 

Der Ablauf in der tragbaren Datentrageranordnung 40 
ist in der linken Halfte und der Ablauf im Endgerat in 
der rechten Halfte der Figur dargestellt. In einem ersten 
Schritt werden einerseits die Sperre eingerichtet, was 
beispielsweise durch ein Reset-Signal fur den in der 
tragbaren Datentrageranordnung enthaltenen Halblei- 45 
terchip erfoigen kann, und andererseits werden die Kar- 
tenidentifikationsdaten CID vom Endgerat aus der trag- 
baren Datentrageranordnung gelesen. Diese werden 
dann mittels eines weiteren geheimen Schliissels KEY 
und eines dazugehorenden Algorithmus f zu einem ge- 50 
heimen Schliissel KEY' entschiiisselt. Dieser geheime 
Schliissel KEY' ist auch in der tragbaren Datentrager- 
anordnung enthalten. 

In einem zweiten Schritt wird der Fehlerzahler FZ in 
der tragbaren Datentrageranordnung inkremental er- 55 
hoht oder erniedrigt Durch die Anzahl der moglichen 
Zahlschritte ist die maximale Anzahl der Authentifika- 
tionsvorgange beschrankt, so daB das Ermitteln des ge- 
heimen Schliissels KEY' durch vieie Versuche nicht 
mdglieh ist. Durch das Verandern des Fehlerzahler- eo 
stands wird die Sperre aufgehoben, so daB in der tragba- 
ren Datentrageranordnung die Durchfuhrung von Ope- 
rationen mdglieh wird. 

In einem dritten Schritt wird zunachst eine erste Zu- 
faliszahl RANDOM 1 als Challenge vom Endgerat zur 6 5 
tragbaren Datentrageranordnung ubermittelt. Dann 
werden in der tragbaren Datentrageranordnung diese 
Challenge mittels des geheimen Schliissels KEY', und 
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eines Algorithmus f, zu Authentifikationsparametern 
API verarbeitet, und als Response-Daten zum Endgerat 
ubermittelt Dort werden sie mit ebenfalls aus der Zu- 
fallszahl RANDOM 1, dem geheimen Schliissel KEY' 
und dem Algorithmus P ermittelten Authentifikations- 
parametern AP2 verglichen. Bei Obereinstimmung wird 
die tragbare Datentrageranordnung als giiltig erkannt 
und der Authentifikationsvorgang wird fortgesetzt. Ist 
keine Obereinstimmung gegeben, so muB der Vorgang 
von vorne begonnen werden, soweit der Fehlerzahler 
FZ dies zulaBt 

Bei Oberstimmung wird in einem vierten Schritt eine 
weitere Zufallszahl RANDOM 2 als weitere Challenge 
vom Endgerat an die tragbare Datentrageranordnung 
ubermittelt. Diese wird wiederum mittels des geheimen 
Schliissels KEY' und des Algorithmus P, sowohl in der 
tragbaren Datentrageranordnung zu Authentifikations- 
parametern AP4 als auch im Endgerat zu Authentifika- 
tionsparametern AP3 verarbeitet. Die Authentifika- 
tionsparameter AP3 des Endgerats werden dann als Re- 
sponse zur tragbaren Datentrageranordnung ubermit- 
telt, wo sie mit den dortigen Authentifikationsparame- 
tern AP4 verglichen werden. Bei Obereinstimmung hat 
sich das Endgerat gegenuber der tragbaren Datentra- 
geranordnung als berechtigt authentifiziert, sowohl den 
Fehlerzahler FZ riicksetzen zu durfen als auch den Wer- 
tespeicher wieder aufladen zu durfen. 

Es ware auch mdglieh und wiirde zu noch groBerer 
Sicherheit fiihren, wenn vor dem Wiederauf laden des 
Wertespeichers ein weiterer Authentifizierungsvorgang 
mit einem weiteren Algorithmus stattfinden wiirde. Es 
konnte dazu auch eine andere Zufallszahl erzeugt und 
als Challenge zur tragbaren Datentrageranordnung 
ubermittelt werden. 

Durch das erfindungsgemaBe Verfahren ist ein hohes 
MaB an Sicherheit bezuglich des Schutzes vor Manipu- 
lation gegeben, da sich sowohl die tragbare Datentra- 
geranordnung als auch das Endgerat jeweils gegenuber 
dem anderen Systemteil authentifizieren miissen und 
ein Ermitteln der verwendeten Algorithmen und gehei- 
men Schliissel durch mehrfaches Probieren nicht mog- 
iich ist, da einerseits nur eine durch den Fehlerzahler FZ 
begrenzte Anzahl von Versuchen erlaubt ist und ande- 
rerseits innerhalb dieser Anzahl von Versuchen ein 
Ruckrechnen mittels der Challenge- und der Response- 
Daten nicht mdglieh ist 

Patentanspriiche 

1. Verfahren zur Authentifizierung eines System- 
teils durch ein anderes Systemteil nach dem Chal- 
lenge-and-Response-Prinzip bei einem mit einem 
Endgerat und einer tragbaren Datentrageranord- 
nung gebildeten Informationsubertragungssystem, 
wobei die tragbare Datentrageranordnung mit ei- 
nem Wertespeicher und einer diesem zugeordne- 
ten Kontrolleinrichtung, einem begrenzbaren, 
nichtfltichtigen Fehlerzahler (FZ) sowie einer 
Sperrvorrichtung gebildet ist, mit folgenden Schrit- 
ten: 

— in der tragbaren Datentrageranordnung 
wird eine Sperre fur das Durchfuhren von Re- 
chenoperationen eingerichtet, die nur durch 
Verandern des Fehlerzahlerstandes aufgeho- 
ben werden kann, 

— der Fehlerzahlerstand wird durch einen 
Programmiervorgang verandert, wodurch die 
Sperre aufgehoben wird, 
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— von dem Endgerat werden Zufallsdaten 
(RANDOM 1; RANDOM 2) als Challenge zur 
tragbaren Datentrageranordnung ubertragen, 

— sowohl im Endgerat als auch in der tragba- 
ren Datentrageranordnung werden aus der 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zumindest eines ersten Algorithmus (f ) 
sowie geheimer Schlusseldaten (KEY') jeweils 
Authentifikationsparameter (AP3, AP4) be- 
rechnet 

— das Endgerat iibertragt seine Authentifika- 
tionsparameter (AP3) als Response zur trag- 
baren Datentrageranordnung, wo sie mit den 
dort berechneten Authentifikationsparame- 
tern (AP4) verglichen werden, 

— bei Obereinstimmung der jeweiligen Au- 
thentifikationsparameter (AP3, AP4) wird die 
Sperrvorrichtung deaktiviert, so daB der Wer- 
tespeicher von dem Endgerat wieder auflad- 
bar ist 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der Wertespeicher von dem Endgerat 
wieder aufgeladen wird. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB gleichzeitig mit dem Wiederaufladen 
des Wertespeichers der Fehlerzahler (FZ) ruckge- 
setzt wird. 

4. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB vor dem Wiederaufladen des Werte- 
speichers der Fehlerzahler (FZ) riickgesetzt wird 

5. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, 

— daB nach dem Rucksetzen des Fehlerzah- 
lers (FZ) sowohl im Endgerat als auch in der 
tragbaren Datentrageranordnung aus der 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zumindest eines zweiten Algorithmus so- 
wie der geheimen Schlusseldaten (KEY') je- 
weils weitere Authentifikationsparameter be- 
rechnet werden, 

— daB das Endgerat seine weiteren Authentifi- 
kationsparameter als Response zur tragbaren 
Datentrageranordnung iibertragt, wo sie mit 
den dort berechneten weiteren Authentifika- 
tionsparametern verglichen werden, und 

— daB erst bei Obereinstimmung der jeweili- 
gen weiteren Authentifikationsparameter der 
Wertespeicher von dem Endgerat wieder auf- 
geladen wird. 

6. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB gleichzeitig 
mit dem Wiederaufladen des Wertespeichers ein 
weiterer Wertespeicher entsprechend dem vorhe- 
rigen Wertestand des Wertespeichers umgeladen 
wird. 

7. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, 

— daB vor der Obertragung der Authentifika- 
tionsparameter (AP3) des Endgerats zur trag- 
baren Datentrageranordnung die tragbare 
Datentrageranordnung ihre Authentifika- 
tionsparameter (API) als Response zum End- 
gerat iibertragt, wo sie mit den dort berechne- 
ten Authentifikationsparametern (AP2) vergli- 
chen werden, und 

— daB erst nach einem positiven Vergleichser- 
gebnis weitere Operationen moglich sind. 

8. Verfahren nach einem der vorhergehenden An- 
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spruche, dadurch gekennzeichnet, daB vor jeder 
Berechnung von Authentifikationsparametern 
(API, AP2, AP3, AP4) neue Zufallsdaten (RAN- 
DOM 1; RANDOM 2) als jeweils neue Challenge 
vom Endgerat zur tragbaren Datentrageranord- 
nung ubertragen werden. 

9. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang neue geheime Schlussel- 
daten verwendet werden. 

10. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang ein neuer Algorithmus 
verwendet wird. 

1 1. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB das Endge- 
rat Identifikationsdaten (CID) aus der tragbaren 
Datentrageranordnung liest und daraus den oder 
die geheimen Schlussel (KEY') berechnet, der oder 
die auch in der tragbaren Datentrageranordnung 
zur VerfQgung steht oder stehen. 
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